Banken, Zahlungsdienste und viele andere Unternehmen, die unter das IT-Sicherheitsgesetz und die KRITIS-Verordnung (KRITIS = „Schutz Kritischer Infrastrukturen”) fallen, müssen sich intensiv mit IT-Sicherheit befassen und ein IT-Sicherheitsmanagementsystem (ISMS) einführen. Ähnliches gilt für alle Unternehmen, die etwa unter die Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), aber (vorerst) noch nicht unter die KRITIS-Verordnung fallen. Das unlängst neu herausgegebene IT-Grundschutz-Kompendium ist dabei eine wichtige Hilfe. Es ist öffentlich, kostenfrei verfügbar und stammt vom Bundesamt für Informationssicherheit (BSI), das gleichzeitig als Aufsichtsbehörde für die Umsetzung des IT-Sicherheitsgesetzes zuständig ist. Grund genug, einen Blick in das IT-Grundschutz-Kompendium zu werfen.
Table of Contents
Das Problem mit der IT-Sicherheit – immer wichtiger, aber immer schwerer zu fassen
Die Beurteilung der Qualität von IT-Sicherheitsmaßnahmen ist seit jeher problematisch. Schon die Qualität „normaler“ IT-Leistungen ist oft nur schwer zu beurteilen. Viele IT-Systeme sind komplex und werden von zahlreichen Faktoren beeinflusst, die nicht alle im Machtbereich des Betreibers liegen. Dem wird vielfach mit umfangreichen und durchaus auch bürokratischen Service Level Agreements (SLAs) begegnet. Neue Ansätze beim Umgang mit SLAs wie z.B. Results-oriented Outsourcing oder Output- and Outcome-based Service Delivery mögen zwar weniger verwaltungsintensiv sein, erfordern aber ein hohes Maß an Vertrauen des Kunden in seinen Dienstleister. Nicht alle Anbieter werden heute schon diesem Vertrauen gerecht.
Außerdem funktionieren SLAs im Bereich der IT-Sicherheit nicht gut: Typisch für Sicherheitslücken ist es, dass sie bis zu ihrer Entdeckung verborgen bleiben. Zudem sind sie vielleicht quantitativ, aber qualitativ kaum sinnvoll messbar, selbst unter Berücksichtigung von CERT Alerts (CERT = Computer Emergency Response Team). Der Quellcode der eingesetzten Software beziehungsweise Firmware ist für die breite Masse der Anwender – außer bei Open Source Software – regelmäßig nicht für Prüfungen verfügbar. Zudem ist der beste technische Schutz nutzlos, wenn die Anwender mit den Schutzmechanismen sorglos umgehen.
Gleichzeitig ist immer öfter festzustellen, dass Verträge, aber auch der Gesetzgeber und ihm folgend die Aufsichtsbehörden, ganz konkret einfordern, dass die beaufsichtigten Unternehmen IT-Sicherheitsmaßnahmen ergreifen. IT-Sicherheit sei Teil einer angemessenen Risikovorsorge, und wesentlicher Teil eines angemessenen Schutzes von personenbezogenen Daten, so die durchaus nachvollziehbare Ratio. Mit dem BSI-Gesetz und der zugehörigen KRITIS-Verordnung ist mittlerweile sogar ein eigenes Regelwerk geschaffen worden, welches gerade für den Banken- und Payment-Bereich Auswirkungen hat. Mit den jüngst ins BSI-Gesetz aufgenommenen „Digitalen Diensten“ fallen zum 10.05.2018 weitere Unternehmen in den Anwendungsbereich dieses Gesetzes.
Umso drängender wird für Unternehmen – gerade aus der jungen FinTech-Branche – die Frage, was sie denn nun konkret tun müssen, um die von den Aufsichtsbehörden geforderte und schon aus Vernunftgründen notwendige IT-Sicherheit zu gewährleisten.
Das Problem mit den Standards und den Best Practices
Vertragsjuristen, der Gesetzgeber und die Aufsichtsbehörden verweisen bei der konkreten Umsetzung von IT-Sicherheitsanforderungen häufig auf „technische Standards“ und „Best Practices“. Fragt sich nur, was das genau ist:
- Ein „(technischer) Standard“ lässt sich definieren als ein öffentlich zugängliches technisches Dokument, das auf Ergebnissen aus Wissenschaft und Technik beruht, unter Beteiligung der interessierten Parteien entwickelt wird und deren Zustimmung findet. Dabei könnte man noch unterscheiden zwischen „De-Facto-Standard“ oder „Industriestandard“, der auf Marktmacht basiert, und einem „De-Jure-Standard“, der ein formales Normungsverfahren durchlaufen hat.
- „Best Practices“ lassen sich definieren als bewährte, optimale oder vorbildliche Methoden, Praktiken oder Vorgehensweisen, die denen in anderen Unternehmen folgen, die als mustergültig angesehen werden.
Rechtlich ist das freilich nicht gut zu fassen, und gerade kleinere Unternehmen stoßen auch auf rein praktische Herausforderungen bei der Umsetzung. Die Standards und Best Practices sind meist abstrakt formuliert und immer im konkreten Einsatzszenario des jeweiligen Unternehmens zu betrachten, das heißt, sie müssen in konkrete Maßnahmen umgesetzt werden. Dienstleister können hierbei helfen, aber anders als bei vielen IT-Leistungen kann das damit erreichte „Maß an IT-Sicherheit“, welches durch Beachtung beziehungsweise Umsetzung von Standards oder Best Practices erreicht wird, nur schwer gemessen werden. Zudem fehlt die Vergleichbarkeit: Setzen zwei unterschiedliche Unternehmen oder Dienstleister die gleichen Standards und Best Practices um, werden wahrscheinlich unterschiedliche Prozesse und damit Ergebnisse herauskommen.
Im Verhältnis zwischen Vertragspartnern haben Standards und Best Practices immerhin den Vorteil, die vagen Grundsätze der „Leistung mittlerer Art und Güte“ (§ 243 Abs. 1 BGB) und der „erforderlichen Sorgfalt“ (§ 276 BGB) zu konkretisieren. Dennoch kann es rechtlich für einen Vertragspartner problematisch sein, im Falle einer Verletzung der IT-Sicherheit Ansprüche zu begründen. Erst recht gilt dies für eine Aufsichtsbehörde, die aufgrund der Bindung der Verwaltung an Recht und Gesetz etwa ein Bußgeld nur dann verhängen darf, wenn die zu bestrafende Verfehlung auch tatsächlich im einschlägigen Bußgeldkatalog aufgeführt ist.
Das Problem bekommt eine Lösung: Der IT-Grundschutz-Katalog
Um diesem Dilemma zu begegnen, entwickelte das BSI schon in den 1990er Jahren das „IT-Grundschutzhandbuch“ (IT-GSHB) für Behörden und Unternehmen und machte dieses öffentlich zugänglich. Ähnliches geschah im Bereich des IT-Servicemanagements, wo die (damalige) britische Central Computing and Telecommunications Agency (CCTA) ab 1989 die ITIL IT Infrastructure Library entwickelte, die sich mittlerweile weltweit durchgesetzt hat und als ISO/IEC 20000 normiert wurde.
Zweck des IT-GSHB war es von Anfang an, möglichst praxisnahe und handlungsorientierte Hinweise zur grundlegenden Absicherung von IT-Komponenten zu geben. Bis 2004 wurden 58 Grundschutzbausteine mit über 700 Maßnahmen geschaffen. 2005 nahm das BSI eine Aufteilung des IT-GSHB in „BSI-Standards“ einerseits und die „IT-Grundschutz-Kataloge“ andererseits vor, unter anderem, um IT-GSHB zu kürzen und es an die „IT-Sicherheits-“ ISO Norm 27001 anzugleichen. Die BSI-Standards beschreiben dabei den Aufbau und die Unterhaltung eines Information Security Management System (ISMS) samt zugehöriger Risiko- und Gefährdungsanalyse.
Die nunmehr „IT-Grundschutz-Kataloge“ genannten Prozess- und Verfahrenshinweise sollen demgegenüber vor allem kleinen und mittleren Unternehmen helfen, mittels Pauschalisierung und Simplifizierung von Fällen schnell und günstig eine Basis-Sicherheit zu erreichen. Dies basiert auf dem Gedanken, dass die meisten Unternehmen ähnliche IT-Systeme und die meisten IT-Systeme ähnliche, typische Komponenten (zum Beispiel Server und Clients, Betriebssysteme, Router) haben. Somit kann man in vielen Fällen pauschalisierte Annahmen zu Gefährdungen und Eintrittswahrscheinlichkeiten treffen und damit die IT-Sicherheit durch ein Bündel von Standard-Sicherheitsmaßnahmen mit konkreten Umsetzungshinweisen deutlich verbessern. Angestrebt ist nicht die perfekte Lösung, sondern ein Zustand, der unter Inkaufnahme gewisser Restrisiken zumindest vorläufig „good enough“ ist.
Das Problem mit der Komplexität: Die IT-Grundschutz-Kataloge wurden immer länger, größer, nicht mehr handhabbar
Trotz der Ausgliederung der BSI-Standards wuchsen die IT-Grundschutz-Kataloge immer weiter. Die letzte, 2016 erschienene Fassung umfasste 2.746 Maßnahmen auf 5.082 Seiten, unterteilt in verschiedene Bausteinkataloge. Durch diese Vielzahl an Informationen wurde das Werk gerade für die Zielgruppe der kleinen und mittleren Unternehmen kaum mehr zu überblicken. Zugleich wurden Anpassungen und Aktualisierungen der Maßnahmen immer schwieriger.
Daraufhin beschloss das BSI eine grundlegende Überarbeitung der IT-Grundschutz-Kataloge. Der so überarbeitete neue IT-Grundschutz wurde erstmals im Rahmen der diesjährigen IT-Sicherheitsmesse it-sa vom 10. bis 12. Oktober 2017 in Nürnberg präsentiert. Das nun „IT-Grundschutz-Kompendium“ genannte Werk enthält aktuell 80 modernisierte Bausteine und dient als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz.
Weiterhin gehören die BSI-Standards zum IT-Grundschutz. Auch diese wurden überarbeitet.
Das BSI verfolgt dabei den Ansatz des „Community Drafts“, damit die IT-Grundschutz-Community Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen kann. Dieses Vorgehen hat sich aus Sicht des BSI offenbar bewährt, denn das BSI will auch zukünftig kontinuierlich Anmerkungen zu den Bausteinen entgegennehmen.
Gesetzliche Grundlage: IT-Sicherheitsgesetz und KRITIS
Am 25. Juli 2015 hat der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, Mindeststandards im Bereich der IT-Sicherheit für Unternehmen aus besonders sensiblen Bereichen (sog. „KRITIS-Betreiber“) zu schaffen, sodass diese sich besser vor Cyberangriffen schützen können. Mit der zum 23.07.2017 verabschiedeten Novellierung des Gesetzes sowie der Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (KRITIS-Verordnung) sind nunmehr auch Banken und Finanzdienstleister in den Anwendungsbereich mit einbezogen.
Die von der Verordnung nunmehr neu in den Kreis der KRITIS-Betreiber aufgenommenen Unternehmen sind mit Inkrafttreten gem. § 8b Absatz 3 BSIG verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen. Zudem müssen sie innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachweisen.
Die vom IT-Sicherheitsgesetz geforderten Mindeststandards
Was die Behörde dabei unter einem geeigneten Nachweis gemäß § 8a BSIG zu verstehen hat, ist im Gesetz nicht geregelt. Allerdings lässt sich der vom BSI veröffentlichen Orientierungshilfe entnehmen, dass die Einhaltung einschlägiger marktbreiter Standards, wie insbesondere dem IT-Grundschutz-Kompendium, dabei eine große Rolle spielt.
Grundsätzlich stehen einem KRITIS-Betreiber mehrere Möglichkeiten zur Auswahl, die Einhaltung der Mindeststandards nachzuweisen. Laut der Orientierungshilfe des BSI können die KRITIS-Betreiber zwischen folgenden drei Varianten auswählen:
- Prüfung auf Grundlage eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards (B3S);
- Prüfung ohne Verwendung eines branchenspezifischen Sicherheitsstandards;
- Berücksichtigung vorhandener Prüfungen oder anderer Prüfgrundlagen.
Damit sind auf jeden Fall relevant:
- einschlägige Standards (z. B. ISO/IEC 27001, ISO 27001 etwa auf der Basis von IT-Grundschutz ) oder
- eigene Kriterien, die sich an der Orientierungshilfe zu B3S nach § 8a (2) BSIG richten.
Inwieweit für Banken und Zahlungsdienste die Möglichkeit besteht, als „branchenspezifischer Sicherheitsstandard“ etwa die „Internationalen Standards für die berufliche Praxis der Internen Revision“ zu verwenden, ist zurzeit noch nicht absehbar, da sie auch fachlich nur begrenzt Anwendung finden. Die Möglichkeit individueller Nachweise der Eignung durch Selbsterklärung gegenüber dem BSI dürfte in der Praxis für die meisten Unternehmen ausscheiden, weil der Aufwand dafür nur von sehr großen Banken mit jahrelang etablierten IT-Security-Prozessen und -Organisationen zu schultern sein dürfte. Und selbst diese folgen durchweg etablierten Standards.
Alle betroffenen Unternehmen, insbesondere aus der Banken- und Payment-Branche, sind daher gut beraten, das neue IT-Grundschutz-Kompendium genau anzusehen und zu prüfen, ob die eigenen Maßnahmen und Sicherheitskonzepte das dort beschriebene Niveau mindestens erreichen.
Die BaFin und der IT-Grundschutz
Bereits vor dem Inkrafttreten des IT-Sicherheitsgesetzes hat die BaFin in ihren Rundschreiben auf die IT-Grundschutz-Kataloge abgestellt. Daher hat auch das neue IT-Grundschutz-Kompendium (weiterhin) Relevanz für die von der BaFin beaufsichtigten Unternehmen, selbst wenn diese nicht unter die KRITIS Verordnung fallen.
So findet sich in den MaRisk (Mindestanforderungen an das Risikomanagement von Banken – BaFin-RS 10/2012 (BA) vom 14.12.2012) folgende Passage in deren AT 7.2, Nr. 2:
„…bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse [ist ] grundsätzlich auf gängige Standards abzustellen. […] Zu solchen Standards zählen z.B. der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700x der International Standards Organization.“
(Erläuterung der BaFin zur MaRisk)
Die MaRisk gilt zwar unmittelbar nur für deutsche Kreditinstitute und Finanzdienstleistungsinstitute. Aufgrund ihrer Prinzipienorientiertheit können viele Passagen der MaRisk aber durchaus sinnvoll auch auf andere beaufsichtigte Institute angewendet werden (etwa auf Zahlungsdienste), was faktisch teilweise passiert. Auch dort gilt, dass mittels angemessener IT-Sicherheitsmaßnahmen die Grundprinzipien der Sicherstellung der Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von Daten umzusetzen sind.
Eine fast wortgleiche Regelung findet sich z.B. auch in den KaMaRisk (Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften – BaFin-RS 01/2017 vom 10.01.2017).
Ein Ausblick
Zur Zeit werden Banken und Zahlungsdienste mit einer Vielzahl von neuen gesetzlichen und regulatorischen Anforderungen konfrontiert: PSD2, MiFid II, die gefühlt alle zwei Wochen in immer neuen Versionen erscheinenden Veröffentlichungen der Europäischen Bankenaufsicht EBA: All dies muss bewältigt werden. Hinzu kommt die EU-Datenschutz-Grundverordnung (DSGVO) – und nun auch, für manche, die KRITIS-Verordnung. Mit der letzten Novelle des BSI-Gesetzes zum 23.06.2017 wurde zudem die europäische „Cybersecurity“ NIS-Richtlinie umgesetzt.
Umso wichtiger sind daher Angebote wie das IT-Grundschutz-Kompendium, die zwar nicht perfekt sind, aber doch eine leicht zugängliche Möglichkeit bieten, die eigenen Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls zu aktualisieren. Dabei ist heute schon absehbar, dass im Fall des Falles ein mehr oder weniger deutliches Unterschreiten der Mindeststandards des IT-Grundschutzkompendiums von den Gerichten schnell auch als Pflichtverletzung der Geschäftsleitung angesehen werden könnte, etwa als grob fahrlässige Verletzung der Pflicht, Risikomanagement zu betreiben und Gegenmaßnahmen bei erkannten Risiken zu ergreifen (§ 93 AktG). Wichtig ist dabei, IT-Sicherheit nicht als Projekt mit einem Ende zu begreifen, sondern als Prozess, der – ähnlich dem IT-Servicemanagement – immer wieder und fortlaufend funktionieren muss, um ein bestimmtes Niveau von IT-Sicherheit zu gewährleisten.
Titelbild / Cover picture: Copyright © Pixabay